webshell 流量分析
php代码部分没啥看的,主要在标黄的部分,裁剪掉前面的字符可base解码
能看到在向a.txt中写入数据
wp
# tshark.exe -r 'chrchrchr.pcapng' -T fields -e urlencoded-form.value -Y "urlencoded-form.key==zd2ebbfb26dd" > 2.txtf=open('2.txt','r',encoding='utf16').readlines()
# print(f)
import re,base64
for each in f:ret=re.findall(';,(.*?)\n',each)# print(base64.b64decode(ret[0][6:]))# if ret:ret2=re.findall('o (.*?) >>',base64.b64decode(ret[0][6:]).decode())print(ret2[0],end='')# 1 base32-->2 base64
# DASCTF{2e1d7bb05d769c2cd10157a66447a0dd}
tips:标黄的部分即为tshark -Y的过滤参数,不知道各种属性怎么点出来可以来这找。